Skoči na vsebino

SI-CERT 2010-05 / Podtikanje binarnih datotek na Windows sistemu

Opis

Veliko število Windows aplikacij vsebuje ranljivost, ki napadalcu omogoča podtikanje izvršljivih datotek ali DLL knjižnic. Napadalec lahko to izkoristi s tem, da žrtvi ponudi datoteko za prenos. Če to datoteko odpre program, ki ranljivost vsebuje, lahko napadalec podtakne knjižnico DLL (ali celo svoj EXE ali COM program) in dobi dostop do sistema v okviru pravic uporabnika, ki je program zagnal. 

DLL (Dynamic Link Library) so programske knjižnice, ki vsebujejo programske funkcije, ki jih uporablja več aplikacij. Za opravljanje posameznih opravil aplikacija naloži DLL knjižnico in nato uporablja funkcije v njej. Preko DLL knjižnic programi odpirajo, kopirajo in brišejo datoteke, odpirajo komunikacijska vrata, upravljajo z zaslonskimi okni itn.

Zgodaj spomladi je mariborsko podjetje ACROS Security odkrilo ranljivost v več Windows aplikacijah (preko 500).

Metode širjenja

Binarno datoteko lahko napadalec podtakne preko USB ključa, SMB mape v skupni rabi ali WebDAV mape.

Ranljive verzije

Večje število aplikacij za Windows operacijske sisteme.

Rešitev

Microsoft je izdal začasni popravek 2264107, preko katerega skrbnik lahko omeji nabor direktorijev, na katerih aplikacija išče DLL knjižnice. Dodatno lahko omejite dostop do zunanjih SMB naprav in izklopite WebClient storitev. Natačna navodila so navedena v Microsoftovem varnostnem obvestilu 2269637: “Insecure Library Loading Could Allow Remote Code Execution”.

Razvijalcem svetujemo, da sledijo navodilom za varno nalaganje DLL knjižnic.

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več